Im Zusammenhang mit Cybersicherheit und der Reaktion auf einen Ransomware-Angriff erhalten die Attacken anfänglich tendenziell viel mehr Aufmerksamkeit als die Phase nach einem Angriff durch Erpressungstrojaner. Das macht auch Sinn, denn die erste Priorität besteht darin, sicherzustellen, dass Hacker gar keinen Zugriff auf Ihr Netzwerk erhalten. Dies führt leider aber auch dazu, dass einige Cyber-Sicherheitskonzepte Themen, die für die Verbreitung von Ransomware von zentraler Bedeutung sind, vernachlässigen. Dies ist zum Beispiel beim Thema „Lateral Movement“ der Fall.
Was ist Network Lateral Movement und weshalb ist es wichtig, darüber Bescheid zu wissen?
Lateral Movementist ein Begriff, der den Prozess beschreibt, bei dem Malware innerhalb eines Netzwerks von einem Computer zum anderen bewegt wird.
Viele Unternehmen mussten bei einem Ransomware Angriff erleben wie ein Teil, oder das gesamte Netzwerk, verschlüsselt wurde. Das Ausmaß der Infektion ist einer der Hauptfaktoren, welcher darüber entscheidet, wie viel Schaden angerichtet wurde. Je mehr sich die Trojaner über das Netzwerk ausbreiten können, desto mehr Spielraum nach oben haben Hacker in Bezug auf die Höhe der Lösegeldforderung.
Wenn es um Ransomware geht, ist deren laterale Verbreitung von spezieller Bedeutung. Viele Netzwerke verfügen über regelmäßige Backups. Wenn Backups vor Infektionen durch Malware gesichert sind, wird ein Hacker-Angriff fehlschlagen, da der Zustand des Systems problemlos wiederhergestellt werden kann. Aus diesem Grund suchen Ransomware-Banden nach dem Durchbruch in ein System als allererstes nach dessen Datensicherungen.
Hacker versuchen häufig ihre Opfer zu erpressen, indem sie mit der Veröffentlichung sensibler Daten drohen. Je mehr Sicherheitsstufen für einen möglichen Zugriff auf Daten in einem System vorhanden sind, desto wertvoller sind diese Informationen. Dementsprechend größer ist der Druck, den Cyberkriminielle auf Opfer ausüben können, wenn Zugang zu diesen Daten erlangt werden konnte.
Netzwerksicherheit ist kein einheitliches Konzept. Netzwerke sind in der Regel so konfiguriert, dass sie vor Bedrohungen innerhalb des Systems geschützt sind. Aus diesem Grund kann es für Angreifer relativ einfach sein, Schwachstellen auf dem PC eines gewöhnlichen Mitarbeiters zu finden. Nachdem ein Zugang auf dessen System erzielt wurde, ist es für Cyberkriminelle viel einfacher, auf den Rest des gesamten Netzwerks zuzugreifen. Danach kann auch auf Dateien von leitenden Mitarbeitenden oder des Managements eines Unternehmens zugegriffen werden.
Dies kann schwerwiegende Konsequenzen haben. Als Beispiel hätte ein Rüstungsunternehmen, das für die Wartung des US-Atomarsenals verantwortlich ist, bei einem Datenzugriff durch Malware eine große Menge sensibler Daten offengelegt.
Verbreitet sich Ransomware von selbst?
Ja und nein. Wie sich Ransomware verbreitet, hängt von der Art der Ransomware,dem Wert des Ziels und der Betriebsmethode der Ransomware-Bande ab. Ransomware-Infektionen, die über Massen-Phishing-E-Mails verbreitet werden, zielen eher auf einzelne PC-Besitzer ab. Es besteht bei Malware wohl immer die Absicht, sich auch auf andere Computer, die mit demselben Netzwerk verbunden sind, ausbreiten zu können. Dieser Prozess findet aber eher automatisiert statt.
Angriffe auf höherwertige Ziele wie Regierungsbehörden oder große Unternehmen erfordern in der Regel umfangreiche Recherchen und eine detaillierte Planung. Es ist wahrscheinlich, dass dort die Ransomware-Bande direkt in einige Aspekte der Verletzung der Datensicherheit involviert ist.
Wie sich Ransomware verbreitet
Die meisten Ransomware-Varianten suchen, nachdem sie sich Zugang auf ein Gerät verschafft haben, automatisch nach Möglichkeiten auf den Rest des Netzwerks zuzugreifen. Sobald ein einzelnes System durchbrochen wurde, können aber auch zusätzliche Schritte erforderlich sein, um das gesamte Netzwerk zu infizieren.
Eine Methode, welche bei komplexen, mehrstufigen Ransomware-Angriffen verwendet wird, ist das interne Phishing. Dabei verschaffen sich Angreifer Zugang auf ein E-Mail-Konto eines Mitarbeiters und verwenden dieses dann, um eine gezielte Phishing-E-Mail mit einem bösartigen Link an einen anderen Mitarbeiter zu senden. Da der Empfänger immer E-Mails von seinen Arbeitskollegen erhält, erwartet er mit hoher Wahrscheinlichkeit keinen bösartgen Link und schnappt den Köder.
Sobald Hacker Zugriff auf einen Computer gewonnen haben, verwenden sie verschiedene Methoden, um ihre Berechtigungen im System zu erweitern. Eine der häufigsten ist das sogenannte „Credential Harvesting“. Netzwerkberechtigungen können komplex sein. Viele Benutzer verfügen häufig über Administratorrechte, die sie gar nicht haben sollten, da sie diese gar nicht benötigen. Wenn Hacker Zugriff auf einen Computer erhalten, sammeln sie Token, Hashes oder andere Daten, mit denen sie auf auf weitere Bereiche des Netzwerks herankommen können.
„Laterale Movement“ und „Credential Harvesting“ spielen bei fast jedem größeren Ransomware-Angriff eine Rolle. Das Wissen, wie man sich vor diesen Hack-Methoden schützt, kann das Risiko einer schwerwiegenden Malware Attacke verringern.
Ist es möglich, die Verbreitung von Ransomware zu verlangsamen oder zu stoppen?
Es gibt ein paar relativ einfache Schritte, welche die Mobilität eines Hackers innerhalb Ihres Netzwerks reduzieren können, sollte bereits ein Zugriff stattgefunden haben.
- Wenden Sie das „Principle of Least Privilege (POLP)“ an.
Das Prinzip der geringsten Privilegien bedeutet, dass Benutzer in einem Netzwerk nur die Berechtigungen haben, die sie tatsächlich unbedingt benötigen. Damit wird die Wahrscheinlichkeit minimiert, dass ein Hacker Zugriff auf Berechtigungen auf hoher Ebene erhält.
- Bleiben Sie stets mit allen Patches auf dem Laufenden.
Cybersicherheit ist ein nie endender Wettlauf, um Schwachstellen zu finden und zu beheben. Die Verwendung veralteter Software erhöht die Anfälligkeit für einen unberechtigten Zugriff auf Daten erheblich. Deshalb ist es essenziell in Bezug auf Updates immer auf dem Aktuellen zu bleiben.
- Verwenden Sie multifaktorische Authentifizierung (MFA).
Die Multifaktor-Authentifizierung kann es erheblich erschweren, die für das „Lateral Movement“ erforderlichen Administratorrechte zu erlangen.
- Verbessern Sie die Verwaltung Ihrer Passwörter
Bei einer überraschend hohen Anzahl von Ransomware-Angriffen werden zu einem variablen Zeitpunkt während der Attacke, Brute-Force-Angriffe verwendet. Die Verwendung einzigartiger und starker Passwörter für jeden einzelnen Benutzer sowie jedes einzelne Gerät des Netwerks kann das Agieren von Cyberkriminellen erheblich erschweren.
- Implementieren Sie Erkennungs- und Reaktionsdienste.
Hacker müssen umfangreiche Erkundungen betreiben, bevor sie einen komplexen Angriff durchführen können. Wenn Sie eine mögliche Attacke auf Ihr System in dieser frühen Erkundungsphase erkennen können, wird es für Sie viel einfacher, einen Angriff zu verhindern. Eine frühe Erkennung von möglichen Hackversuchen ist beispielsweise durch die Verwendung eines „Intrusion Detection System“ (IDS) machbar. Durch Techniken wie Port-Scanning-Erkennung kann darauf hingewiesen werden, dass ein möglicher Angriff geplant wird. Die Verwendung eines verwalteten Erkennungs- und Reaktionsdiensts durch einen Service Provider kann für Institution durchaus kostengünstig sein.
Notfallplanung
Es gibt ein altes Sprichwort, das besagt: „Planen Sie für das Schlimmste und hoffen Sie auf das Beste“. Dies gilt sicherlich, wenn es um die Vorbereitung der Prozesse im Zusammenhang mit möglicher Ransomware geht. Es gibt keine 100% sichere Cybersicherheitskonfiguration. Eine gut abgerundete Ransomware-Abwehrstrategie sollte Angreifer einschränken, die Wahrscheinlichkeit einer Erkennung erhöhen und eine laterale Ausbreitung verhindern. Ein paar Vorsichtsmaßnahmen können den Unterschied zwischen einer geringfügigen Unannehmlichkeit und einer vollständigen Abschaltung des Betriebs Ihres Systems ausmachen.